·187·数据法域外适用及其冲突与应对——以欧盟《通用数据保护条例》与美国《澄清域外合法使用数据法》为例王燕*摘要:欧美个人数据保护及境外数据获取的最新立法均体现出强烈的域外适用倾向。前者以欧盟《通用数据保护条例》为代表扩大属人主义原则的运用,并将“目标指向”或“消极人格”标准引入数据法规;后者以美国《澄清域外合法使用数据法》为典型,通过扩张本国对数据控制者的联系进行数据执法。这两类立法以本区域或本国与数据主体和数据控制者的联系为连接点进行域外适用,对数据流动分别产生限制移动或强制转移效果,必然会在彼此之间形成法律冲突,并对企业的数据合规及国家的双边关系产生负面影响。为减少冲突,国家在制定具有明显域外效力的个人数据保护或境外数据获取法律法规时,应与数据往来频密的国家尽可能达成具有可执行性的数据交换协议,或改进双边司法协助协议中的数据交换机制,在执法及司法中基于礼让原则对本国域外执法利益和外国冲突利益和价值进行平衡,采取与其目标相称的执法和司法措施。关键词:数据法规;域外适用;法律冲突;数据主体;数据控制者人类社会进入数字时代后,数据立法成为国家在国际社会中争夺数据治理话语权、输出本国数据治理观、扩大本国数据优势的主要路径。数据管辖是国家延伸网络监管权限,实现数据资源独立,保障网络设备整体性和独立性等目的的一种途径。互联网时代,网络空间本身的无边界性及数据的无限移动性,使国家不得不制定具有域外适用效力的数据法律法规以实现数据管制的目的,同时借助于域外管辖扩大本国数据法律执行力,巩固本国数据优势。欧盟和美国分别在个人数据保护及境外数据获取中采纳扩张性管辖策略。欧盟制定了备受争议的“目标指向”标准,以“数据主体”与本国的联系扩张《通用数据保护条例》(GDPR)的保护范畴及实效,防范他国政府和个人对区域内个人数据的不当获取和处理。美国则发挥本国数据企业的数据持有优势,在《澄清合法使用境外数据法》(CLOUD)中借助于本国法律对数据控制者的属人管辖提升执法机关的数据境外获取能力。这两类立法在域外适用过程中产生了直接的法律冲突,对个人权利、政府执法权以及双边合作关系均产生负面影响。域外管辖条款当前在个人数据保护及境外数据获取的立法中已屡见不鲜。其制定和实施会在不同国家、不同类别的数据法之间产生互动,如处理不当则可能引发剧烈的法律冲突。本文以欧盟GDPR和美国CLOUD的法律适用条款为分析对象,首...
